本书介绍Web应用安全相关知识，包括Web应用技术基础和Web应用安全技术两部分，共13章。第1章为Web应用概述，第2章为Web前端原理与编程，第3章为Web服务器原理与编程，第4章为HTTP原理，第5章为MVC模式，第6章为Web应用安全简介，第7章为Web应用前端安全，第8章为Web应用服务器端安全，第9章为HTTP相关漏洞原理，第10章为业务逻辑安全，第11章为Web应用安全防护，第12章为Web应用木马防御，第13章为Web应用漏洞挖掘。课程组根据多年的教学实践，并结合科研成果总结成书。本书突出强调理论性和实践性的统一，在描述技术原理的同时，设计相关的示例程序，以便读者复现实践；突出强调知识结构的整体性，将Web应用技术基础和Web应用安全技术有机融合，有助于读者构建Web应用安全的知识体系。本书适合作为高等学校网络空间安全、信息安全、网络工程、计算机科学与技术、软件工程等专业学生的Web应用安全课程教材，部分内容也可供有一定基础的本科生、研究生或研究人员作为参考资料。

颜学雄，信息工程大学网络空间安全学院副教授。信息工程大学一流网络安全学院示范专业建设-课程建设-Web应用安全项目负责人。曾获国家级教学成果二等奖。曾出版《网络安全》《网络攻防技术（第2版）》《网络安全实验教程》《Web服务安全》。

第1章 Web应用概述 1
1.1 Web技术简史 2
1.1.1 互联网的诞生 2
1.1.2 Web技术的诞生 3
1.2 Web技术基本原理 3
1.3 Web前端 4
1.3.1 浏览器 5
1.3.2 HTML 5
1.3.3 CSS 6
1.3.4 JavaScript语言 7
1.4 Web服务器端 7
1.4.1 Web服务器 7
1.4.2 Web应用程序 8
1.4.3 数据库系统 10
1.5 HTTP 11
1.6 典型Web应用简介 11
思考题 12
第2章 Web前端原理与编程 13
2.1 HTML核心元素 14
2.1.1 HTML文档结构 14
2.1.2 head部分主要元素 15
2.1.3 超链接 15
2.1.4 文本和文字列表元素 16
2.1.5 多媒体元素 19
2.1.6 表单元素 21
2.1.7 内联框架 24
2.2 URL 25
2.3 CSS基本原理与应用 26
2.3.1 CSS使用模式 26
2.3.2 CSS属性 27
2.3.3 选择器 31
2.4 JavaScript语言简介 32
2.4.1 在HTML文档中使用JavaScript语言 32
2.4.2 JavaScript语法基础 34
2.4.3 BOM操作 36
2.4.4 DOM操作 39
2.4.5 事件处理 42
2.4.6 AJAX技术 46
2.5 浏览器基本原理 49
2.5.1 浏览器基本架构 49
2.5.2 浏览器主要工作过程 50
2.5.3 开发者工具 51
思考题 54
第3章 Web服务器原理与编程 55
3.1 Web服务器基本原理 56
3.2 Web服务器环境搭建 57
3.2.1 Apache环境安装和配置 57
3.2.2 PHP环境安装和配置 59
3.2.3 MySQL环境安装和配置 59
3.2.4 集成环境搭建和配置 61
3.3 PHP语言基础 63
3.3.1 基本语法 63
3.3.2 PHP语言的输出和输入 64
3.3.3 在HTML中嵌入PHP代码 67
3.3.4 数据类型简介 67
3.3.5 常量和变量 68
3.3.6 基本操作符 70
3.3.7 控制语句 71
3.4 PHP语言文件操作 73
3.4.1 文件打开和关闭 73
3.4.2 文件读取 74
3.4.3 文件写入 75
3.4.4 目录操作 75
3.4.5 其他文件或目录操作 76
3.5 PHP语言数组 76
3.5.1 数组结构 76
3.5.2 数组创建 76
3.5.3 数组元素访问 77
3.5.4 多维数组 78
3.6 PHP语言字符串 79
3.6.1 字符串的表示 79
3.6.2 字符串分隔与连接 80
3.6.3 字符串比较 82
3.6.4 字符串匹配与替换 83
3.7 PHP语言函数 84
3.7.1 自定义函数 84
3.7.2 内置函数 85
3.7.3 匿名函数和动态函数 85
3.8 PHP语言数据库编程 86
3.8.1 数据库简介 86
3.8.2 SQL语句简介 87
3.8.3 数据库编程接口 93
3.8.4 数据库编程示例 95
3.9 PHP语言面向对象特性 96
3.9.1 对象和类 97
3.9.2 继承和重载 100
3.9.3 访问控制 102
思考题 103
第4章 HTTP原理 104
4.1 HTTP基本原理 105
4.1.1 基本通信过程 105
4.1.2 正向代理 105
4.1.3 反向代理 105
4.2 HTTP消息 106
4.2.1 HTTP请求消息 106
4.2.2 HTTP响应消息 107
4.3 HTTP头部 110
4.3.1 通用头部 110
4.3.2 请求头部 111
4.3.3 响应头部 111
4.3.4 实体头部 112
4.3.5 非HTTP/1.1头部 112
思考题 113
第5章 MVC模式 114
5.1 基本原理 115
5.2 开发过程示例 115
5.3 示例代码清单 118
思考题 126
第6章 Web应用安全简介 127
6.1 Web1.0时代的安全问题 128
6.2 OWASP TOP 10 128
6.3 Web前端安全问题 130
6.3.1 浏览器安全问题 130
6.3.2 XSS漏洞 131
6.3.3 点击劫持攻击 131
6.3.4 HTML5安全问题 131
6.4 Web服务器端安全问题 131
6.4.1 SQL注入漏洞 131
6.4.2 命令注入漏洞 131
6.4.3 代码注入漏洞 132
6.4.4 文件操作类漏洞 132
6.4.5 XXE漏洞 132
6.4.6 反序列化漏洞 132
6.4.7 SSRF漏洞 133
6.5 HTTP安全问题 133
6.5.1 会话攻击 133
6.5.2 请求头注入攻击 133
6.5.3 CSRF攻击 133
6.5.4 网站架构中的安全问题 133
6.6 业务逻辑安全问题 134
6.7 Web应用安全防护 134
6.8 Web应用木马防御 134
6.9 Web应用漏洞挖掘 135
思考题 135
第7章 Web应用前端安全 136
7.1 同源策略 137
7.1.1 源的定义 137
7.1.2 同源策略规则 137
7.1.3 同源策略示例 138
7.2 XSS漏洞原理与防御 139
7.2.1 XSS漏洞基本原理 140
7.2.2 XSS漏洞类型 142
7.2.3 XSS漏洞利用方式 146
7.2.4 XSS漏洞防御 153
7.3 点击劫持攻击与防御 156
7.3.1 点击劫持攻击原理 156
7.3.2 点击劫持攻击防御 158
7.4 HTML5安全 160
7.4.1 iframe的sandbox属性 160
7.4.2 跨域资源共享（CORS） 161
7.4.3 跨文档通信 166
思考题 169
第8章 Web应用服务器端安全 170
8.1 SQL注入漏洞原理与防御 171
8.1.1 SQL注入漏洞基本原理 171
8.1.2 SQL注入漏洞分类 173
8.1.3 SQL注入漏洞利用方式 174
8.1.4 SQL盲注入 179
8.1.5 SQL注入漏洞防御 181
8.1.6 SQLMAP工具 183
8.2 命令注入漏洞原理与防御 187
8.2.1 命令注入漏洞基本原理 187
8.2.2 命令注入漏洞分类 190
8.2.3 命令注入漏洞利用方法 190
8.2.4 命令注入漏洞防御方法 192
8.3 代码注入漏洞原理与防御 193
8.3.1 代码注入漏洞基本原理 194
8.3.2 代码注入漏洞利用方法 195
8.3.3 代码注入漏洞防御 195
8.4 文件操作类漏洞原理与防御 195
8.4.1 文件包含漏洞原理与防御 195
8.4.2 文件上传漏洞原理与防御 199
8.4.3 文件下载漏洞原理与防御 205
8.5 XXE漏洞原理与防御 207
8.5.1 XML基础 208
8.5.2 XXE漏洞基本原理 211
8.5.3 XXE漏洞利用 214
8.5.4 XXE漏洞防御 215
8.6 反序列化漏洞原理与防御 215
8.6.1 PHP语言数据类型的序列化与反序列化 216
8.6.2 PHP语言魔术方法 218
8.6.3 反序列化漏洞原理 220
8.6.4 反序列化漏洞利用—构造POP链 223
8.6.5 反序列化漏洞防御 225
8.7 SSRF漏洞原理与防御 226
8.7.1 SSRF漏洞基本原理 226
8.7.2 PHP语言中的封装协议 227
8.7.3 SSRF漏洞利用方法 228
8.7.4 SSRF漏洞防御 229
思考题 229
第9章 HTTP相关漏洞原理 231
9.1 HTTP会话管理 232
9.1.1 Cookie机制 232
9.1.2 基于Cookie的会话原理 234
9.1.3 会话示例—Ebank系统 234
9.2 会话攻击原理与防御 240
9.2.1 会话攻击原理 240
9.2.2 会话攻击防御 245
9.3 请求头注入攻击原理与防御 245
9.3.1 消息头注入攻击原理 246
9.3.2 消息头注入攻击防御 247
9.4 CSRF攻击原理与防御 247
9.4.1 CSRF攻击原理 247
9.4.2 CSRF攻击防御 248
9.5 网站架构漏洞原理与防御 249
9.5.1 HTTP参数污染 249
9.5.2 HTTP响应切分 253
思考题 255
第10章 业务逻辑安全 256
10.1 迷你商城积分兑换系统 257
10.1.1 系统概述 257
10.1.2 用户登录模块 258
10.1.3 顾客积分兑换模块 259
10.1.4 商家订单处理模块 262
10.1.5 顾客订单信息查看模块 263
10.1.6 退出登录模块 265
10.2 用户账号暴力破解 265
10.2.1 一般原理 265
10.2.2 攻击过程示例 265
10.2.3 暴力破解的防御方法 268
10.3 权限管理漏洞 268
10.3.1 非授权访问漏洞 268
10.3.2 水平越权漏洞 269
10.3.3 垂直越权漏洞 271
10.4 其他典型业务逻辑漏洞 272
思考题 274
第11章 Web应用安全防护 275
11.1 正则表达式 276
11.1.1 正则表达式简介 276
11.1.2 正则表达式基本形式 276
11.1.3 字符类 277
11.1.4 重复量词 277
11.1.5 边界限定 278
11.1.6 模式修饰符 279
11.1.7 模式选择 279
11.1.8 子模式 279
11.1.9 反向引用 280
11.1.10 基于正则表达式的字符串操作 280
11.2 Web应用防火墙 282
11.2.1 WAF防护原理 282
11.2.2 WAF分类 283
11.2.3 ModSecurity 283
11.3 微软SDL安全开发流程 288
思考题 291
第12章 Web应用木马防御 292
12.1 Webshell原理与检测 293
12.1.1 Webshell分类及原理 293
12.1.2 Webshell管理工具 294
12.1.3 Webshell检测方法 297
12.2 网页木马原理与防御 298
12.2.1 网页木马基本概念及原理 298
12.2.2 网页木马防御技术 303
思考题 305
第13章 Web应用漏洞挖掘 306
13.1 PHP代码安全审计 307
13.1.1 代码审计的一般流程 307
13.1.2 漏洞代码示例 307
13.1.3 基于模式匹配方法 310
13.1.4 基于污点分析方法 311
13.1.5 代码审计工具—RIPS 315
13.2 Web应用程序模糊测试 316
13.2.1 Web应用的模糊测试流程 316
13.2.2 面向漏洞挖掘的Web应用爬虫 318
13.2.3 测试用例生成方法 319
思考题 322